EuGH entscheidet: Privacy Shield ist nicht rechtskonform
Der EuGH hat in seiner Entscheidung vom 16.07.2020 (Urt. v. 16.07.2020, Az. C-311/18, „Schrems II“) entschieden, dass die Selbst-Zertifizierung von US-Unternehmen unter das sog. „Privacy Shield“-Abkommen (Angemessenheitsbeschluss gem. Art. 45 DSGVO) keinen angemessenen Datenschutz für EU Bürger gewährleiste.
Damit ist es den deutschen Unternehmen ab sofort nicht mehr möglich durch eine Weitergabe von personenbezogenen Daten auf das „Privacy Shield“ zu stützen. Überall wo dies geschehen ist, müssen Anpassungen erfolgen.
Auswirkungen auf Standardvertragsklauseln
Vielleicht noch wichtiger sind die Aussagend des EuGH in Bezug auf die Standardvertragsklauseln. Diese fungieren als „Ausweg“ für die Datenübermittlung in Drittländer. So kann ein Vertrag zwischen dem EU- und US-Amerikanischen Unternehmen geeignete Garantien für EU Bürger entfalten, wenn dieser sog. „Standardvertragsklauseln“ gem. Art. 46 Abs. 2 lit. c DSGVO beinhaltet. Viele Unternehmen stützen ihre Verarbeitung in die USA bereist auf diese Klauseln. So hat Google am letzten Wochenende angekündigt zukünftig eine Übermittlung auf diese Standardvertragsklauseln (SVK) zu stützen.
Der EuGH sieht auch diese Klauseln im Fall eines Transfers in die USA nur dann als möglich wirksame Rechtsgrundlage an, wenn die dort genannten Garantien von den US-Unternehmen auch gegeben werden könnten. Diese Prüfung sei Sache der Datenschutzbehörden. Da EU-Bürger in den USA keine Möglichkeit haben sich gegen stattliche Eingriffe zu schützen, können solche Klauseln problematisch sein. Denn ein effektiver Rechtschutz für EU-Bürger kann durch eine solche vertragliche Vereinbarung überhaupt nicht garantiert werden.
Was bedeutet das für Unternehmen
- Mit den großen Unternehmen (Apple, Google, MS) sollten SVK abgeschlossen werden (zumindest hat der EuGH diese noch nicht für rechtsunwirksam erklärt). Für die großen Unternehmen ist dies meist schon geschehen.
- Die Weitergabe von Daten an US-Unternehmen, die sich auf das Privacy Shield beziehen, muss ebenfalls auf SVKs umgestellt werden. Das werden wir in den nächsten Monaten umsetzen müssen.
- Neue Verträge mit (kleineren) US-Unternehmen sollten entweder SVKs erhalten oder (besser noch) vermieden werden, wenn es EU-Unternehmen gibt, die die gleiche Leistung anbieten.
Mehr Informationen: EuGH hebt Privacy Shield auf. Und jetzt? (Legal Tribune Online)
OLG Schleswig: Begrenzung der Speicherung bei Auskunfteien
Das OLG Schleswig hat in seinem Urteil vom 2.7.2021 (Az, 17U15/21) eine bemerkenswerte...
Mögliche Verweigerung LJPA NRW Anspruch Art. 15 DSGVO
Ap-Datenschutz exklusiv: LJPA NRW verweigert weiterhin Anspruch nach Art. 15 DSGVO. Wir analysieren die Argumente des Prüfungsamtes und zeigen auf, wo es falsch liegt.
OVG Schleswig: „nemur tenetur“ Auskunftsverweigerung bei Anfragen der Behörde?
Beschluss des OVG Das OVG Schleswig hat in seinem jüngst veröffentlichten Beschluss vom 28.05.2021...